Es una de las herramientas más valiosas a la hora de ver las carencias en materia de seguridad de la información con las que cuenta la empresa. Consiste en revisar, medir y ponderar todas las amenazas, riesgos y vulnerabilidades que giran alrededor de la información que custodia la empresa.